Surfez malin !

Installation d'un NT sécurisé

Retour à la page d'accueil Trucs et Astuces pour NT, 95, ... Boite à outils pour NT Mes amis sur le Web Liens

Best Viewed With Any Browser
Gagnez des sous ?

Classement de sites - Inscrivez le vôtre!

Cette page n'est plus maintenue. Les Pages Questions / Réponses, Outils sont maintenant disponibles sur
http://fds.mvps.org

Objet : Proposer une démarche d'installation pour éviter de laisser de trop gros trous dans la sécurité NT.

Référence : Les outils indispensables pour NT
Liens : Le travail des autres et mon inspiration

Un travail très intéressant est disponible sur le site de Patrick Chambet

Des articles complémentaires sont disponibles sur ce site, d'autres ont été publiés dans la revue MISC.

Sur le site du laboratoire SupInfo, il y'a un article sur la sécurité ou l'insécurité de la base SAM de Windows NT/2000. Après l'avoir lu, vous saurez un peu plus pourquoi il faut faire (ou ne pas faire confiance) à la sécurité de votre système.

Chez Microsoft :

La présentation des Nouveautés de la sécurité Windows Server 2003 que j'ai faite pour les Journées de la Sécurité (4/5/6 Mai 2004)

Quelques autres éléments

[WS] indique un paramétrage pour une WorkStation, [SVR] indique un paramètre intéressant sur un serveur.

S01 : Protection du fichier d'échange (pagefile.sys)[WS]
S02 : Quelques réflexions sur les virus...
S03 : Interdire a Windows Media Player de lancer des pages HTML contenant des scripts
S04 : Configuration de l'économiseur d'écran pour le compte admin
S05 : Définir une taille de mots de passe adaptée
S06 : Limiter l'accès physique aux machines sensibles
S07 : Utiliser des outils adaptés
S08 : Désactiver le LMHash
S09 : Comment sécuriser windows NT 4.0
S10 : Comment sécuriser windows XP [ToutWindows ]
S99 : Fini pour le moment ?

S01 : Protection du fichier d'échange (pagefile.sys) [WS]

Les pages mémoires sont enregistrées sur le disque dans le fichier d'échange (fichier SWAP ou Page file), Ce fichier inaccessible lors du fonctionnement du système peut se révéler indiscret si on redémarre le système avec un autre système.

Il est possible de demander au système de "nettoyer" ce fichier lors de l'arrêt du système en paramétrant la clé de registre suivante :

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown à la valeur 1
ou utilisez le fichier ClearPageFile.reg

Ce paramétrage n'évite pas que des données confidentielles persistent après un crash ou un arrêt brutal du système.

S02 : Quelques réflexions sur les virus...

Voir : Virus

S03 : Interdire a Windows Media Player de lancer des pages HTML contenant des scripts

http://www.laboratoire-microsoft.org/tips/tips/366.asp

S04 : Configuration de l'économiseur d'écran pour le compte admin

Voici les clés à positionner pour cela : 

[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="7200"  (valeur du timeout en secondes)
"ScreenSaveActive"="1"   (activation 1 ou désactivation 0)
"ScreenSaverIsSecure"="0"   (autorisation 1 ou blocage 0 du mot de passe)
"SCRNSAVE.EXE"="C:\\WINNT\\System32\\WINEXIT.SCR"
     (chemin d'accès à l'écran de veille, ici winexit en exemple)

Vous pouvez aussi lire :

S05 : Définir une taille de mots de passe adaptée

Sur les systèmes NT, la taille de 7 caractères est souvent conseillée. Pour des mots de passes plus sérieux vous pouvez aller jusqu'a 14 caractères sous NT ou le dépasser largement sous 2000 si vous en plus vous voulez interdire l'accès du compte à un système plus ancien.

Pour configurer la taille minimum du mot de passe voir chez Winguide :

Pour les systèmes 2000/XP, un mot de passe de plus de 14 caractères permet de désactiver le Haschage LM.

S06 : Limiter l'accès physique aux machines sensibles

Il est tellement simple si on a accès à une machine de casser le mot de passe de l'administrateur.

Sans utiliser des outils complexes, sans tester tous les mots de passe, il suffit de remplacer le mot de passe inconnu par un connu.

La procédure est publique et bien expliquée sur le site de J.C. Bellamy :

Ou dans une autre version 

S07 : Utiliser des outils adaptés

Voir chez Microsoft la page sur la sécurité :

Voir chez GFI :

D'autres outils gratuits et des FAQs : [grc.com/freepopular.htm ].
La boite à outils d'urgence : [dirk-loss.de/win-tools.htm ] en complément des outils de l'administrateur.
Les outils de vérification en ligne :

S08 : Désactiver le LMHash

Si vous n'avez plus de poste Windows 9x/Me qui utilisent encore cette authentification, débarrassez vous du stockage du LMHash. Pour cela :

Veuillez notez que les hash existants ne sont pas supprimé jusqu'au changement de tous les anciens mots de passe.

Il est aussi possible d'obtenir le même résultat en n'utilisant que des mots de passe de plus de 14 caractères.

S09 : Comment sécuriser Windows NT 4.0

Voici quelques liens sur des livres blancs et des procédures pour renforcer un ou des systèmes (même) Windows NT 4.0

Classement de sites - Inscrivez le vôtre!

Le tabac nuit gravement à la santé ! Et la nicotine encrasse non seulement les poumons mais aussi les claviers et les ventilateurs ! Copyright ©1997-2010, François Dunoyer, Dernière modification le